1.一種基于過濾驅動的安全審計系統，其特征在于包括：系統過濾驅動模塊、客戶端采集模塊、客戶端處理模塊和客戶端發送模塊，其中系統過濾驅動模塊包括網絡驅動接口規范NDIS驅動模型的中間層過濾驅動模塊和即插即用PNP驅動模型的USB設備過濾驅動模塊；

NDIS驅動模型的中間層過濾驅動模塊，創建NDIS協議驅動設備，將此設備綁定所有NDIS小端口驅動，以獲取網卡設備接收的網絡數據；創建NDIS小端口驅動設備，將此設備綁定所有NDIS協議驅動，以獲取NDIS協議驅動發送的網絡數據；設置分發函數，將獲取的網絡數據進行Kerberos協議和CIFS協議關鍵字匹配，將以上兩種協議的敏感網絡數據通過共享內存傳輸給客戶端采集模塊；

PNP驅動模型的USB設備過濾驅動模塊，通過綁定PCI總線設備驅動，設置USB設備添加設備分發函數，USB設備插入時，通過構造輸入輸出請求包IRP獲取USB設備類型和型號信息，將捕獲的USB設備數據通過共享內存傳輸給客戶端采集模塊；

客戶端采集模塊：初始化兩個采集線程和兩個信息緩存隊列，兩個采集線程和兩個信息緩存隊列分別對應接收緩存NDIS驅動模型的中間層過濾驅動模塊和PNP驅動模型的USB過濾驅動模塊的數據；在每個采集線程中，各自初始化共享內存，將共享內存傳遞給對應的過濾驅動，作為客戶數據緩存區，各自初始化共享事件，作為跟對應的過濾驅動進行事件通信的標志；當系統過濾驅動模塊捕獲客戶數據時，將數據緩存至共享內存，并觸發對應的共享事件，采集線程讀取客戶數據，采集線程首先讀取對應的共享內存數據，將數據緩存至對應的信息緩存隊列，將對應的共享事件置位，將對應的共享內存清空，繼續等待共享事件被觸發；當信息緩存隊列中存在數據時，客戶端采集模塊會創建處理線程，調用對應的客戶端處理模塊處理接口，對客戶信息緩存隊列中的數據進行處理；

客戶端處理模塊：首先初始化緩存客戶端基本信息，客戶端基本信息包括客戶登錄用戶名、客戶登錄主機名；然后接收客戶端采集模塊采集的CIFS協議、Kerberos協議和USB設備數據，進行CIFS協議文件操作數據處理或者進行Kerberos協議登錄數據處理或者進行USB設備數據處理；所述CIFS協議文件操作數據處理初始化文件身份FID緩存隊列，通過解析CIFS協議網絡數據包中的操作命令字段，采取相應的操作命令處理流程，將CIFS協議網絡數據包中的操作信息和審計基本信息，生成相應的審計日志，調用客戶端發送模塊發送審計日志；所述進行Kerberos協議登錄數據處理，首先初始化登錄用戶名緩存隊列，通過解析獲取Kerberos協議請求包中的客戶端登錄用戶名和Kerberos協議返回包中的登錄結果，將以上信息緩存到登錄用戶名緩存隊列，當前登錄用戶名出錯次數如果是5的倍數，將登錄用戶名和審計日志基本信息組成審計日志，調用客戶端發送模塊發送審計日志；所述進行USB設備數據處理，解析數據獲取其中的USB設備型號信息和設備ID信息，將USB設備型號信息、設備ID信息和審計日志基本信息組成審計日志，調用客戶端發送模塊發送審計日志；

客戶端發送模塊：初始化日志緩存隊列和網絡套接字連接，將客戶端處理模塊中的審計日志放入日志緩存隊列中，通過網絡套接字將日志發送到日志服務器。

2.根據權利要求1的一種基于過濾驅動的安全審計系統，其特征在于：所述NDIS驅動模型的中間層過濾驅動模塊設置分發函數實現過程如下：

a.通過設置驅動分發函數，將本驅動捕獲的網絡數據包進行處理，根據網絡數據包中的網絡協議類型TCP協議或者UDP協議分別執行b和c；

b.針對TCP協議數據包，過濾其中的kerberos協議網絡數據包，將其放入共享內存，并通知客戶端采集模塊讀取共享內存數據；

c.針對UDP協議數據包，過濾其中的CIFS協議網絡數據包，將其放入共享內存，并通知客戶端采集模塊讀取共享內存數據。